論企業“合規”的利器
——隱私協議

(湘潭大學法學院 湖南 湘潭 411100)

2018年新年伊始，支付寶“年度賬單”事件刷爆朋友圈，也讓“隱私協議”一詞抓住了大眾的眼球。支付寶推出了年度賬單回顧，用戶通過“上劃”這一動作就可以查看自己的消費賬單。用戶作出“上劃”賬單這一動作的同時就意味著同意了芝麻服務協議，則芝麻信用就可以按照自己的“隱私協議”收集用戶信息。這無疑是支付寶利用用戶的“疏忽大意”使用戶“被動”地同意其“隱私協議”的惡意事件。究其原因，無疑是大數據時代到來，信息能為企業帶來巨大的經濟利益以及市場占有率，對信息的占有和控制成為了企業間新的爭奪焦點。然而，在實踐中，這類“不合規地”收集、抓取個人信息的現象較少。近年來，保護個人信息的呼聲高漲，以及《網絡安全法》等法律法規相繼頒布，都對企業合規提出更多要求。為了在收集更多信息的同時又不觸碰規則的底線，“隱私協議”便成為了企業合規的“利器”。

一、現行立法對個人信息的保護

近年來，我國加快了個人信息安全保護的立法和修法進程。2017年11月4日，我國《反不正當競爭法》歷時24年后首次修訂，專設“互聯網專條”。《民法總則》首次將“個人信息”“信息”和“網絡虛擬財產”納入其中。以及《網絡安全法》明確加強了對個人信息的保護，嚴格打擊網絡詐騙等。

此外，《信息安全技術個人信息安全規范》對個人信息的基本定義、原則和收集、存儲、傳輸等方面都提出了詳細地要求。于其第四章明確提出了目的明確、權責一致、公開透明、最少夠用以及確保安全等個人信息保護的基本原則。對信息的跨境傳輸、共享、公開披露、轉讓、委托處理等均提出了詳細要求。①

二、隱私協議成為企業“合規”的利器

企業為了最大化地收集用戶信息，又不觸碰規則的底線，便紛紛推出隱私協議。以《支付寶服務協議》為例，其要求用戶提交的個人信息包括但不限于會員號、支付寶賬戶、密碼、數字證書、電話號碼、身份證件號碼及指紋信息等。前述信息有許多跟個人財產及隱私息息相關的信息，一旦泄露將給個人帶來無窮隱患。然而，在其隱私協議中明確規定：“使用身份要素進行的任何操作、發出的任何指令均視為用戶本人做出。因用戶的原因造成的賬戶、密碼等信息被冒用、盜用或非法使用，由此引起的一切風險、責任、損失、費用等應由用戶自行承擔。”支付寶是一個相對封閉的網絡服務平臺，用戶在使用支付寶時，很難接觸到非支付寶推送的其他運營商(即在支付寶服務中的第三方服務商多為跟其有合作或經其同意才能在支付寶平臺上提供服務的第三方)。因此，《支付寶服務協議》將用戶使用身份要素的任何指令均視為用戶做出，引起的一切風險由用戶自行承擔，無疑是其為獲得最大利益而設置“要約陷阱”。

并且，在其隱私協議中，明確規定支付寶會基于提供服務或其他目的向合法存有支付寶用戶信息的第三方收集信息。支付寶認為需要時，用戶需同意支付寶可以把用戶的信息提供給第三方。根據其隱私協議，支付寶還會向關聯公司、我們的供應商或合作伙伴共享用戶的信息。而支付寶對因為前述第三方的不當行為導致用戶信息泄露，用戶個人隱私、經濟財產安全等遭受侵害這類風險背后的責任承擔問題未作出明確地回答。

三、應對之策

為了進一步規范企業在抓取、收集、存儲、使用個人信息，以及后續的傳輸、轉讓、共享等環節中的處理、處置行為，遏制侵害個人信息的行為，最大程度地保障個人的合法的信息權益。我們不僅需要在立法層面給予支撐，還需要在行業規范、技術支持等多方面給予保障。

(一)完善“隱私協議”的標準

隱私協議應當是企業“合規”的重要體現，是企業約束自身行為和配合監督管理的重要機制，是保障個人數據安全與規范處理的一道“防護墻”，而不應是企業在個人信息保護日趨嚴格的形式下規避自身風險的重要手段。隱私協議應清晰、準確、完整地描述企業的個人信息處理行為。根據目的對應的不同業務功能，詳細列出收集的個人信息類型；明確描述哪些類型的個人信息屬于特定業務功能所必需的；收集身份證、護照、駕照等法定證件信息和個人生物識別信息時，應專門提醒個人信息主體此次收集活動涉及的信息，并說明處理目的、處理規則；不得使用概括性語言綜述所收集個人信息；說明個人信息在使用過程中涉及的地理區域，如個人信息存儲和備份的地域，個人信息傳輸過程中涉及的地域范圍；如果個人信息存在跨境傳輸情況，需單獨列出或重點標識；使用個人信息時，是否形成直接用戶畫像及其用途需要明確說明；根據個人信息的使用情況，注明不同類型個人信息預計的保留時間；確需改變信息收集和使用的目的，應當說明會征得用戶的同意等。

(二)信息收集、使用行業規范的確立

企業要切實履行信息安全義務，包括但不限于對信息處理、管控等技術人員的培訓；建立內部自查自糾、監督、補救制度；保障個人信息主體的投訴渠道，并建立健全行之有效的問責機制；②切實履行好大數據平臺、企業的責任，構建一個以平臺、企業為基礎的技術融合、業務融合、信息融合，跨業務、跨部門的新的生態，在信息的收集、應用當中，要保護好各方的權益。推動企業建立行業自律機制，完善自身的信息保護水平。③預防信息侵權現象的產生，就更多地要在平臺企業和上下游企業、和用戶之間訂立一些規則，比如科學利用三重授權原則；以及在行業內部建立健全嚴格的管理規范和明確的處罰機制等。

(三)個人信息保護技術手段的升級

善于利用信息失真、信息加密、限制發布、差分隱私保護等多種技術手段以確保被收集的個人信息的完整性，保證被收集的個人信息在存儲、傳輸、處置和使用的過程中不被惡意篡改；利用訪問認證、識別技術，對來訪用戶的身份、資格進行驗證。④反“匿名化”、嚴格規制信息關聯等措施同樣值得重視。

(四)強化個人的信息保護意識

大數據時代，個人信息被惡意抓取、盜用、濫用以及泄露，與個人保護意識的缺失有直接關聯。在辦理某些需要提供個人信息的事務、業務時，未與相關企業約定信息保密責任。在使用互聯網時，未加防范地將個人信息輸入、錄入，不注重保護，甚至不知道自身享有的信息權益，就可能將自己陷入信息被惡意泄露、濫用的風險中。即使發現自身的信息被濫用、泄露，甚至造成不良后果之時，諸多市民也因為自身的維權意識不高、法治素養的缺乏，助長了這種違法行為的泛濫。因此，加強信息保護宣傳教育、開展信息保護講座、提高個人信息保護意識刻不容緩。⑤

(五)完善個人信息保護的監管機制

強化網絡安全監管，切實保障個人信息，政府部門有無可推卸的責任。然而，政府監管方面仍舊存在不少漏洞。一監管機構權責未明。個人信息與個人的財務、生理、隱私等各方各面息息相關，信息保護涉及面廣，應由專業機構統一監管，而當下的信息監管機構過于分散、權責不明。二缺少強制性的管理標準。《個人信息安全規范》作為國家推薦性標準，不具有強制約束力。除非個人主動承諾、企業明確援引，或者相關法律法規有明確規定，才可以在個人、企業之間產生實質性作用。三監管措施不嚴，使得個人信息、隱私被惡意抓取、使用，更有甚者惡意更改個人相關信息；四行政處罰較低。違法成本過低，對于獲益者來說，根本不足以遏制其違法行為。

【注釋】

①⑤史衛民.大數據時代個人信息保護的現實困境與路徑選擇[J].情報雜志,2013,32(12):155-159+154.

②李卓卓,馬越,李明珍.數據生命周期視角中的個人隱私信息保護——對移動APP服務協議的內容分析[J].情報理論與實踐,2016,39(12):63-68.

③劉耀華.借歐美“隱私盾”協議 響我國網絡數據保護的警鐘[J].通信世界,2016(21):22-23.

④劉雅輝,張鐵贏,靳小龍,程學旗.大數據時代的個人隱私保護[J].計算機研究與發展,2015,52(01):229-247.